Тергөөдө Windows коопсуздук окуясынын ID 4688ди кантип чечмелесе болот
тааныштыруу
Ылайык Microsoft, окуя идентификаторлору (окуя идентификаторлору деп да аталат) белгилүү бир окуяны уникалдуу түрдө аныктайт. Бул Windows операциялык тутуму тарабынан катталган ар бир окуяга тиркелген сандык идентификатор. Идентификатор камсыз кылат маалымат болгон окуя жөнүндө жана системанын иштешине байланыштуу көйгөйлөрдү аныктоо жана жоюу үчүн колдонулушу мүмкүн. Окуя, бул контекстте, система же системадагы колдонуучу тарабынан аткарылган ар кандай иш-аракетти билдирет. Бул окуяларды Windows'до Event Viewer аркылуу көрүүгө болот
Окуя ID 4688 жаңы процесс түзүлгөн сайын катталат. Бул машина тарабынан аткарылган ар бир программаны жана аны аныктоочу маалыматтарды, анын ичинде жаратуучуну, максатты жана аны баштаган процессти документтештирет. Бир нече окуялар окуя ID 4688 астында катталат. Киргенден кийин, Session Manager Subсистемасы (SMSS.exe) ишке киргизилип, окуя 4688 катталды. Эгерде система кесепеттүү программа менен жуккан болсо, анда кесепеттүү программа жаңы процесстерди ишке ашырышы мүмкүн. Мындай процесстер ID 4688 астында документтештирилет.
Interpreting Event ID 4688
Окуя ID 4688ди чечмелөө үчүн окуялар журналына киргизилген ар кандай талааларды түшүнүү маанилүү. Бул талаалар кандайдыр бир мыйзам бузууларды аныктоо жана процесстин келип чыгышын анын булагына чейин көзөмөлдөө үчүн колдонулушу мүмкүн.
- Жаратуучунун темасы: бул талаа жаңы процессти түзүүнү суранган колдонуучу каттоо эсеби жөнүндө маалымат берет. Бул талаа контекстти камсыз кылат жана соттук тергөөчүлөргө аномалияларды аныктоого жардам берет. Ал бир нече субталааларды камтыйт, анын ичинде:
- Коопсуздук идентификатору (SID)» ылайык Microsoft, SID ишенимдүү адамды аныктоо үчүн колдонулган уникалдуу маани. Бул Windows машинасындагы колдонуучуларды аныктоо үчүн колдонулат.
- Каттоо эсебинин аталышы: SID жаңы процессти түзүүнү демилгелеген эсептин атын көрсөтүү үчүн чечилет.
- Каттоо домени: компьютер таандык болгон домен.
- Кирүү ID: колдонуучунун кирүү сеансын аныктоо үчүн колдонулган уникалдуу он алтылык маани. Аны ошол эле окуя ID камтыган окуяларды салыштыруу үчүн колдонсо болот.
- Максаттуу тема: бул талаа процесси иштеп жаткан колдонуучунун каттоо эсеби жөнүндө маалымат берет. Процессти түзүү окуясында айтылган субъект, кээ бир жагдайларда процессти токтотуу окуясында айтылган субъекттен айырмаланышы мүмкүн. Ошентип, жаратуучунун жана максаттын бир эле кирүү мүмкүнчүлүгү жок болгондо, экөө тең бир эле процесс идентификаторуна шилтеме жасаса да, максаттуу субъектти кошуу маанилүү. Чакан талаалар жогорудагы жаратуучунун темасы менен бирдей.
- Процесс маалыматы: бул талаа түзүлгөн процесс жөнүндө толук маалымат берет. Ал бир нече субталааларды камтыйт, анын ичинде:
- Жаңы процесс ID (PID): жаңы процесске дайындалган уникалдуу он алтылык маани. Windows операциялык системасы аны активдүү процесстерге көз салуу үчүн колдонот.
- Жаңы процесстин аталышы: жаңы процессти түзүү үчүн ишке киргизилген аткарылуучу файлдын толук жолу жана аты.
- Токенди баалоо түрү: Токенди баалоо - бул колдонуучунун каттоо эсебинин белгилүү бир иш-аракетти аткарууга уруксаты бар-жогун аныктоо үчүн Windows тарабынан колдонулган коопсуздук механизми. Процесс жогорулатылган артыкчылыктарды талап кылуу үчүн колдоно турган токендин түрү "токенди баалоо түрү" деп аталат. Бул талаа үчүн үч мүмкүн болгон маани бар. 1-түр (%%1936) процесс демейки колдонуучу токенин колдонуп жатканын жана эч кандай атайын уруксаттарды сурабаганын билдирет. Бул талаа үчүн бул эң кеңири таралган маани. 2-түр (%%1937) процесстин толук администратор артыкчылыктарын иштетүү үчүн сураганын жана аларды алуу ийгиликтүү болгонун билдирет. Колдонуучу колдонмону же процессти администратор катары иштеткенде, ал иштетилет. 3-түр (%%1938) процесс жогорулатылган артыкчылыктарды сураганына карабастан, суралган аракетти аткаруу үчүн талап кылынган укуктарды гана алганын билдирет.
- Милдеттүү энбелги: процесске дайындалган бүтүндүк энбелгиси.
- Жаратуучу Процесс ID: жаңы процессти баштаган процесске дайындалган уникалдуу он алтылык маани.
- Жаратуучу процессинин аты: жаңы процессти жараткан процесстин толук жолу жана аты.
- Процесс Command Line: жаңы процессти баштоо үчүн буйрукка берилген аргументтер жөнүндө маалымат берет. Ал учурдагы каталогду жана хэштерди камтыган бир нече субталааларды камтыйт.
жыйынтыктоо
Процессти талдоодо анын мыйзамдуу же зыяндуу экенин аныктоо абдан маанилүү. Мыйзамдуу процессти жаратуучунун предметине жана процессинин маалымат талааларына карап оңой эле аныктоого болот. Процесс идентификатору аномалияларды аныктоо үчүн колдонулушу мүмкүн, мисалы, адаттан тыш ата-эне процессинен жаңы процесс пайда болгон. Буйрук сабын процесстин мыйзамдуулугун текшерүү үчүн да колдонсо болот. Мисалы, купуя маалыматтарга файл жолун камтыган аргументтери бар процесс зыяндуу ниетти көрсөтүшү мүмкүн. Жаратуучунун темасы талаасы колдонуучунун каттоо эсебинин шектүү аракет менен байланышы бар-жогун аныктоо үчүн колдонулушу мүмкүн.
Мындан тышкары, жаңы түзүлгөн процесс жөнүндө контекстти алуу үчүн ID 4688 окуясын системадагы башка тиешелүү окуялар менен байланыштыруу маанилүү. Окуя ID 4688 жаңы процесстин кандайдыр бир тармак туташуусу менен байланышы бар-жогун аныктоо үчүн 5156 менен байланыштырылышы мүмкүн. Эгер жаңы процесс жаңы орнотулган кызмат менен байланышкан болсо, 4697 окуясы (кызмат орнотуу) кошумча маалымат менен камсыз кылуу үчүн 4688 менен байланыштырылышы мүмкүн. Event ID 5140 (файл түзүү) жаңы процесс тарабынан түзүлгөн жаңы файлдарды аныктоо үчүн да колдонулушу мүмкүн.
Жыйынтыктап айтканда, системанын контекстти түшүнүү потенциалды аныктоо болуп саналат таасири процессинин. Критикалык серверде башталган процесс өз алдынча машинада башталган процесске караганда көбүрөөк таасир этиши мүмкүн. Контекст тергөөнү багыттоого, жоопко артыкчылык берүүгө жана ресурстарды башкарууга жардам берет. Окуялар журналындагы ар кандай талааларды талдоо жана башка окуялар менен корреляцияны жүргүзүү менен аномалдык процесстерди алардын келип чыгышына жана себебин аныктоого болот.
